实验二:VLAN间三层通信实验
目录
1.学习目的
2.拓扑图
3.实验原理
1.VLAN原理
2.DNS原理
3.ACL原理
4.实验对实际网络工作的启示
5.场景
实验步骤:
6.学习任务
1. 基础配置与IP编址
2 多臂路由
3 单臂路由
4 三层交换
7.实验步骤回顾
1.IP地址配置
2.VLAN划分
3.DNS服务器配置
4.ACL规则设置
8.实验过程中的问题与解决
(一)IP地址配置错误
(二)VLAN间通信故障
(三)DNS解析失败
(四)ACL规则未生效
7.实验总结
1.实验目的
- 掌握多臂路由的配置方法
- 掌握单臂路由的配置方法
- 掌握三层交换的配置方法
2.拓扑图
3.实验原理
1.VLAN原理
VLAN(Virtual Local Area Network)即虚拟局域网,是一种将一个物理的LAN在逻辑上划分成多个广播域的技术。通过VLAN的划分,可以将不同的用户或设备划分到不同的逻辑网络中,即使它们在物理上连接在同一台交换机上。
2.DNS原理
DNS的工作机制:DNS(Domain Name System)即域名系统,是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
3.ACL原理
ACL(Access Control List)即访问控制列表,是一种基于包过滤的网络访问控制技术。它通过定义一系列规则来允许或拒绝特定的网络流量,从而实现对网络访问的控制。
ACL的主要功能包括:
网络安全防护:通过设置ACL规则,可以防止未经授权的用户访问网络中的敏感资源,例如企业内部的服务器、数据库等。
流量控制:可以根据网络流量的源地址、目的地址、端口号等参数来控制网络流量的流向和流量大小,例如限制某些用户对网络带宽的占用,保证关键业务的网络带宽需求。
网络策略实施:可以通过ACL来实施企业的网络策略,例如只允许特定部门的员工访问某些网络资源,或者只允许在特定时间段内访问某些网络服务等。
4.实验对实际网络工作的启示
(一)网络规划的重要性
1. 在实际网络工作中,网络规划是至关重要的第一步。就像本次实验中需要根据拓扑图进行IP地址配置、VLAN划分、服务器配置和ACL设置一样,在企业网络或大型网络环境中,需要提前规划网络拓扑结构、IP地址分配方案、VLAN划分策略、服务器部署位置和网络安全策略等。
2. 合理的网络规划可以避免网络地址冲突、VLAN划分不合理导致的通信问题、服务器资源分配不均以及网络安全漏洞等问题,提高网络的稳定性、安全性和可扩展性。
(二)故障排查的方法与思路
1. 在实验过程中遇到了多种网络故障,如IP地址配置错误、VLAN间通信故障、DNS解析失败和ACL规则未生效等。解决这些故障的过程锻炼了故障排查的能力。
2. 在实际网络工作中,当遇到网络故障时,需要采用系统的排查方法和思路,例如:
从物理层开始检查:首先检查网络设备的电源、网线连接是否正常,查看设备的指示灯状态等,排除物理层故障的可能性。
网络层检查:检查IP地址配置、子网掩码、默认网关等网络配置信息是否正确,使用ping命令、traceroute命令等网络测试工具来测试网络连通性和路径。
应用层检查:对于涉及到应用服务(如DNS、HTTP等)的故障,检查服务器的配置、服务状态、应用程序设置等,查看相关的日志文件来获取故障线索。
分区域排查:在大型网络环境中,可以将网络划分为多个区域,如接入层、汇聚层、核心层等,逐步排查故障所在的区域,缩小故障范围,提高排查效率。
(三)网络安全策略的实施
1. 本次实验中的ACL设置展示了网络安全策略在网络中的应用。在实际网络工作中,网络安全是至关重要的。
2. 企业需要根据自身的业务需求和安全要求,制定合理的网络安全策略,包括:
访问控制:通过ACL、防火墙等技术来控制用户对网络资源的访问,防止外部攻击和内部越权访问。
入侵检测与防范:部署入侵检测系统(IDS)和入侵防范系统(IPS),实时监测网络中的入侵行为,并采取相应的防范措施。
数据加密:对网络中的敏感数据进行加密传输和存储,防止数据泄露和被窃取,例如使用SSL/TLS协议对HTTP流量进行加密,使用IPsec协议对网络层的数据进行加密等。
用户认证与授权:建立用户认证和授权机制,确保只有合法的用户才能访问网络资源,并且根据用户的权限级别进行授权,限制用户的操作范围。
5.场景
你是公司的网络管理员。现在公司网络是由二台交换机和一台路由器组成的以太网环境。图中R1和R2代表公司不同部门的PC,分别加入了二个不同的VLAN。现在需要你实现R1和R2之间的通信。公司最初使用的是多臂路由,后来为了节省成本使用单臂路由。再后来,因为网络架构的变化,流量更多是在VLAN间传输,所以采用了多层交换。
实验步骤:
- 按照拓扑图配置各设备接口的IP地址
- 将学校领导和学生分别置于不同的VLAN;
- 在DNS服务器上配置王者荣耀和百度域名分别对应的IP地址。使得领导和学生可以使用域名访问百度和王者荣耀服务器。
- 在路由器上设置合适的ACL规则(ACL3000),使得学校领导可以访问2个服务器,但是学生只能访问百度,不能访问王者荣耀服务器。
6.学习任务
1. 基础配置与IP编址
给所有设备配置IP地址和掩码。
<huawei>system-view
[huawei]sysname R1
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.0.2.2 24
[R1-GigabitEthernet0/0/1]quit
<huawei>system-view
[huawei]sysname R2
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip address 10.0.3.2 24
[R2-GigabitEthernet0/0/2]quit
<Huawei>system-view
[Huawei]sysname S1
<Huawei>system-view
[Huawei]sysname S2
<huawei>system-view
[huawei]sysname R4
[R4]interface GigabitEthernet 0/0/1
[R4-GigabitEthernet0/0/1]ip address 10.0.2.1 24
[R4-GigabitEthernet0/0/1]quit
[R4]interface GigabitEthernet 0/0/2
[R4-GigabitEthernet 0/0/2]ip address 10.0.3.1 24
[R4-GigabitEthernet 0/0/2]quit提示:请使用ping命令测试R1与R4接口G0/0/1的地址的连通性及R2和R4直连接口的连通性。
2 多臂路由
将R1和R2分别处于不同的VLAN中。R1的网关使用R4的G0/0/1接口地址,R2的网关使用R4的G0/0/2接口地址。由R4的多个接口提供VLAN间通信的服务就叫做多臂路由。在交换机S1和S2上创建VLAN2XX和VLAN3XX。(XX为组号)
[S1]vlan batch 2XX 3XX
[S2]vlan batch 2XX 3XX
将R1加入VLAN2XX,R2加入VLAN3XX,R4的G0/0/1加入VLAN2XX,G0/0/2加入VLAN3XX。
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port link-type access
[S1-GigabitEthernet0/0/1]port default vlan 2XX
[S1-GigabitEthernet0/0/1]quit
[S1]interface GigabitEthernet 0/0/4
[S1-GigabitEthernet0/0/4]port link-type access
[S1-GigabitEthernet0/0/4]port default vlan 2XX
[S1-GigabitEthernet0/0/4]quit
[S2]interface GigabitEthernet 0/0/2
[S2-GigabitEthernet0/0/2]port link-type access
[S2-GigabitEthernet0/0/2]port default vlan 3XX
[S2-GigabitEthernet0/0/2]quit
[S2]interface GigabitEthernet 0/0/4
[S2-GigabitEthernet0/0/4]port link-type access
[S2-GigabitEthernet0/0/4]port default vlan 3XX
[S2-GigabitEthernet0/0/4]quit
在R1和R2上配置网关,分别使用所在VLAN的R4接口地址。
[R1]ip route-static 0.0.0.0 0 10.0.2.1
[R2]ip route-static 0.0.0.0 0 10.0.3.1
提示:使用命令display vlan查看并确认配置。 并使用ping测试R1和R2之间的连通性。
3 单臂路由
在R4的一个物理接口上创建二个子接口,VLAN间的通讯通过对应的子接口完成。这种方法叫做单臂路由。关闭S2的G0/0/4接口。
[S2]interface GigabitEthernet 0/0/4
[S2-GigabitEthernet0/0/4]shutdown
[S2-GigabitEthernet0/0/4]quit
将S1和S2的G0/0/9接口加入VLAN 3XX。
[S2]interface GigabitEthernet 0/0/9
[S2-GigabitEthernet0/0/9]port link-type access
[S2-GigabitEthernet0/0/9]port default vlan 3XX
[S2-GigabitEthernet0/0/9]quit
[S1]interface GigabitEthernet 0/0/9
[S1-GigabitEthernet0/0/9]port link-type access
[S1-GigabitEthernet0/0/9]port default vlan 3XX
[S1-GigabitEthernet0/0/9]quit将S1的G0/0/4接口模式改为Trunk模式,并允许VLAN2XX和VLAN3XX通过。
[S1]interface GigabitEthernet 0/0/4
[S1-GigabitEthernet0/0/4]port link-type trunk
[S1-GigabitEthernet0/0/4]port trunk allow-pass vlan 2XX 3XX
[S1-GigabitEthernet0/0/4]quit在R4上为G0/0/1接口创建两个子接口。同时子接口上配置IP地址,并封装相应vid。
[R4]interface GigabitEthernet 0/0/1.2
[R4-GigabitEthernet0/0/1.2]dot1q termination vid 2XX
[R4-GigabitEthernet0/0/1.2]arp broadcast enable
[R4-GigabitEthernet0/0/1.2]ip address 10.0.20.1 24
[R4-GigabitEthernet0/0/1.2]quit
[R4]interface GigabitEthernet 0/0/1.3
[R4-GigabitEthernet0/0/1.3]dot1q termination vid 3XX
[R4-GigabitEthernet0/0/1.3]arp broadcast enable
[R4-GigabitEthernet0/0/1.3]ip address 10.0.30.1 24
[R4-GigabitEthernet0/0/1.3]quit在上述命令中,
“interface GigabitEthernet 0/0/1.X”命令用来创建子接口,GigabitEthernet 0/0/1.X代表物理接口内的逻辑接口通道。
“dot1q termination vid”命令用来配置子接口IEEE 802.1q封装的VLAN ID。默认情况,子接口没有配置IEEE802.1q封装的单层VLAN ID。
“arp enable”命令用来启用子接口的ARP广播功能。默认情况下,终结子接口没有启用ARP广播功能。子接口不能转发广播报文时,收到广播报文后会直接丟弃该报文。
提示:使用display ip interface brief命令查看R4上子接口配置信息。
更改R1和R2的IP地址和网关。
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.0.20.2 24
[R1-GigabitEthernet0/0/1]quit
[R1]undo ip route-static 0.0.0.0 0 10.0.2.1
[R1]ip route-static 0.0.0.0 0 10.0.20.1
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip address 10.0.30.2 24
[R2-GigabitEthernet0/0/2]quit
[R2]undo ip route-static 0.0.0.0 0 10.0.3.1
[R2]ip route-static 0.0.0.0 0 10.0.30.1测试R1和R2之间的连通性。
从ping命令的输出结果可知,VLAN 2XX的计算机和VLAN 3XX的计算机成功通信。
这种方案相对于多臂路由方案可以节省企业购买路由器接口的资金。
但相对的,单臂路由由于所有数据都在同一个接口上传输,随着VLAN数量的增加将会增大这条链路的带宽压力。同时这条链路也成为了企业网络的单点故障,一旦出现问题则整个网络都无法通信。
4 三层交换
三层交换指的是不需要路由器帮助,每个VLAN都有一个Vlanif接口充当路由器接口的角色来实现不同VLAN间通信的方法。
关闭S1的G0/0/4接口。
[S1]interface GigabitEthernet 0/0/4
[S1-GigabitEthernet0/0/4]shutdown
[S1-GigabitEthernet0/0/4]quit更改S1的G0/0/9接口和S2的G0/0/9接口的模式为Trunk模式,允许VLAN2XX和VLAN3XX通过。
[S1]interface GigabitEthernet 0/0/9
[S1-GigabitEthernet0/0/9]port link-type trunk
[S1-GigabitEthernet0/0/9]port trunk allow-pass vlan 2XX 3XX
[S1-GigabitEthernet0/0/9]quit
[S2]interface GigabitEthernet 0/0/9
[S2-GigabitEthernet0/0/9]port link-type trunk
[S2-GigabitEthernet0/0/9]port trunk allow-pass vlan 2XX 3XX
[S2-GigabitEthernet0/0/9]quit在S1上创建Vlanif 2接口和Vlanif 3接口,并配置IP地址。
[S1]interface Vlanif 2XX
[S1-Vlanif2]ip address 10.0.20.1 24
[S1-Vlanif2]quit
[S1]inter Vlanif 3XX
[S1-Vlanif3]ip address 10.0.30.1 24
[S1-Vlanif3]quit
测试R1和R2之间的连通性。
从ping命令的输出结果可知,VLAN2XX 和VLAN 3XX的计算机通过交换机S1的二个Vlanif接口实现了三层数据通信。
相比单臂路由方案,三层交换更具有扩展性,即使VLAN增加也不会对其性能造成很大影响。在VLAN间通信占企业大部分流量的网络中能够很好的承担服务压力。
7.实验步骤回顾
1.IP地址配置
根据拓扑图,对各设备接口配置IP地址。例如,为学校领导(LEADER)配置IP地址为192.168.100.2/24,VLAN100;为学生(STAFF)配置IP地址为192.168.200.2/24,VLAN200等。此步骤是后续网络通信的基础,确保各个设备在网络中拥有唯一的标识。
2.VLAN划分
将学校领导和学生分别置于不同的VLAN。通过VLAN的划分,可以实现网络的逻辑隔离,减少网络广播风暴的影响,提高网络的安全性和性能。不同VLAN间的通信需要通过三层设备(如路由器)进行转发。
3.DNS服务器配置
在DNS服务器上配置域名和IP地址的对应关系。例如,将域名“wangme”对应的IP地址配置为192.168.220.2/24,“baidu”对应的IP地址配置为192.168.220.3/24等。DNS服务器的作用是将域名解析为IP地址,使得用户可以通过方便记忆的域名来访问网络资源。
4.ACL规则设置
在路由器上设置合适的ACL规则(ACL3000)。规则规定学校领导可以访问2个服务器(包括HTTP和DNS服务器),而学生只能访问百度,不能访问“wangme”服务器。ACL的设置是实现网络访问控制的关键手段,通过定义规则来允许或拒绝特定的网络流量。
8.实验过程中的问题与解决
(一)IP地址配置错误
1.问题描述
在配置IP地址时,由于输入错误,导致某些设备无法在网络中正常通信。例如,将学校领导的IP地址配置为192.168.100.3/24,但子网掩码误输入为255.255.0.0,导致与其他设备不在同一子网内,无法进行通信。
2.解决方法
通过检查设备的网络配置信息,使用ping命令测试与其他设备的连通性,发现IP地址配置错误。重新核对拓扑图和配置要求,将IP地址和子网掩码修改为正确的值,即192.168.100.2/24,之后网络恢复正常通信。
(二)VLAN间通信故障
1.问题描述
在划分VLAN后,学校领导和学生所在的不同VLAN间无法进行通信。即使在路由器上配置了正确的VLAN接口IP地址,VLAN间的数据包也无法正常转发。
2.解决方法
首先检查路由器的VLAN接口配置,发现VLAN间路由功能未正确启用。通过在路由器上配置`ip routing`命令启用路由功能,然后检查VLAN接口的IP地址和子网掩码是否正确配置。此外,还检查了连接不同VLAN的链路是否正常工作,通过查看交换机端口状态和链路指示灯,确保物理链路连接正常。经过这些操作后,VLAN间通信恢复正常。
(三)DNS解析失败
1.问题描述
在配置DNS服务器后,使用域名进行访问时,出现无法解析域名的情况。例如,在学校领导的设备上使用域名访问“wangme”服务器时,无法获得对应的IP地址,导致访问失败。
2.解决方法
首先检查DNS服务器的配置文件,查看域名和IP地址的映射关系是否正确。发现由于在配置过程中,误将“wangme”的IP地址写错。修改正确后,仍然无法解析。进一步检查DNS服务器的网络连接和服务状态,发现DNS服务未正确启动。通过重启DNS服务,并在客户端设备上重新设置DNS服务器的IP地址为正确的值,域名解析功能恢复正常,能够成功通过域名访问相应的服务器。
(四)ACL规则未生效
1.问题描述
在路由器上设置了ACL规则后,发现规则并未按照预期生效。例如,学生仍然能够访问“wangme”服务器,违反了设置的访问控制规则。
2.解决方法
首先检查ACL规则的配置语句,发现由于在配置过程中,将规则应用的接口方向弄错。ACL规则应该应用在进入接口(inbound)方向,以对进入该接口的流量进行过滤。修改规则应用方向后,发现规则仍然未完全生效。进一步检查发现,在ACL规则中,源地址和目的地址的配置存在错误,导致规则匹配不准确。重新核对网络拓扑和访问需求,修改ACL规则中的源地址和目的地址后,ACL规则生效,实现了对网络访问的精确控制。
7.实验总结
本次网络实验是一次对网络知识和实践技能的全面锻炼。通过对IP地址配置、VLAN划分、DNS服务器配置和ACL规则设置等操作,深入理解了网络的基本原理和工作机制,同时在解决实验过程中出现的各种问题时,提高了故障排查和解决的能力。同时,在小组中合作的力量也不可低估,这也是在整个实验中高效率的表现,更是很好的模拟了未来在工作中的分工合作。这些实验技能和知识对于实际网络工作具有重要的指导意义,并且随着网络技术的不断发展,如SDN、物联网和5G的兴起,需要不断地学习和探索新的网络技术,以适应未来网络工作的需求。